Check Point sugere as 10 melhores práticas de segurança para as PMEs

8272
0
Share:

A Check Point Software Technologies Ltd. divulgou uma lista de 10 recomendações chave para frear a ameaça crescente que as PMEs vivem por parte dos cibercriminosos e que os especialistas em segurança descrevem já como uma verdadeira “epidemia”. A sua menor dimensão transforma-as em alvos mais acessíveis, que, no entanto, possuem informação e recursos de grande valor para os atacantes.

Segundo um recente relatório da Verizon, de 621 fugas de dados analisadas, perto de metade aconteceram em empresas com menos de 250 empregados, incluindo um elevado número em entidades com menos de 100 trabalhadores. Além disso, as últimas informações apontam que as pequenas empresas raramente são capazes de se recuperar de um ciberataque, motivo pelo qual os especialistas aconselham a que a segurança das suas redes passe a ser uma prioridade estratégica para garantir a continuidade dos seus negócios.

“As pequenas e médias empresas estão a tornar-se num objectivo de grande valor para os cibercriminosos, mas na maioria dos casos não possuem o conhecimento nem os recursos necessários para fazer frente a esta ameaça”, destaca Mario García, director geral da Check Point. “No entanto, existem práticas simples, em matéria de segurança, que muitas vezes se esquecem ou são ignoradas e que podem ajudar sobremaneira a pôr uma barreira mais robusta que dificulte a acção dos hackers”.

A Check Point aconselha a ter em conta este simples conjunto de recomendações:

Não utilizar passwords comuns: As passwords representam a primeira linha de protecção em matéria de segurança. No entanto, um recente relatório da SplashData revela que as 25 chaves mais habituais continuam a incluir, surpreendentemente, algumas como password, 12345678, abc123 ou 123123. As PMEs devem certificar-se que se usam na sua empresa passwords longas (com pelo menos 8 caracteres) e complexas, isto é, que incluam minúsculas, maiúsculas, números e caracteres não alfanuméricos.

Proteger cada entrada: Todas as vias de acesso à rede devem ser revistas. Isto inclui verificar que estão definidas passwords seguras em portáteis, smartphones, tablets ou pontos de acesso WiFi. Deve-se, também, utilizar a funcionalidade de prevenção de ameaças do firewall, proteger os terminais, como portáteis ou PCs desktop, com software específico (antivírus, antispam e antiphishing), bem como alertar os colaboradores para que não liguem dispositivos USB desconhecidos aos recursos da empresa.

Segmentar a rede: Uma forma de proteger a rede é dividindo-a em zonas e protegendo cada uma delas de forma adequada, delimitando, por exemplo, as destinadas a trabalhos críticos. Os meios públicos, como os servidores web, não devem ter acesso à rede interna e deve-se estabelecer um acesso específico para convidados.

Definir, educar e reforçar políticas: Muitas pequenas empresas não têm uma política de segurança. É necessário estabelecer uma política clara de uso para as páginas web e redes sociais, bem como para aplicações permitidas ou não permitidas. Não permitir aplicações de alto risco (como clientes Bit Torrent ou P2P) e bloquear TOR e outros sistemas de anonimato deve ser uma prioridade.

Consciencializar sobre as redes sociais: Os cibercriminoso usam-nas para obter informação das pessoas e melhorar assim os rácios de sucesso dos seus ataques. A engenharia social e o phishing começam com a recolha de dados nestes meios, pelo que é necessário educar os colaboradores para que sejam cuidadosos ao partilhar informação nas redes.

Encriptar tudo: Assegurar-se de que todos os dados sensíveis estão encriptados, o que engloba, por exemplo, sistemas de encriptação no pré arranque de portáteis, adquirir discos e chaves USB com encriptação, bem como usar sistemas de encriptação robustos na redes wireless (considerar sistemas como WPA2 com encriptação AES) ou usar sistemas VPN (redes privadas virtuais).

Manter a rede: Fazer uma manutenção regular da rede assegura a eficácia de todas as medidas. Isto implica verificar se os sistemas operativos dos portáteis e servidores estão em dia (funcionalidade Windows Update activada), actualizar o browser, bem como o componente Flash em aplicações Adobe e activar actualizações automáticas sempre que seja possível (Chrome, Firefox, etc). Usar dispositivos equipados com sistemas IPS é também recomendável para evitar ataques em portáteis desactualizados.

Cuidado com a Cloud: Se usarem sistemas Cloud, as empresas devem assumir que o conteúdo que lá se coloca deixará de ser totalmente privado, pelo que se deve encriptar tudo antes de o enviar, incluindo cópias de segurança. Comprovar a segurança do fornecedor Cloud e não usar a mesma password para estes sistemas são outras recomendações que se devem ter em conta.

Não deixar que qualquer um seja Administrador: O acesso de Administrador dá aos utilizadores maior liberdade, mas estes privilégios são um risco para a segurança. Não se deve permitir que os colaboradores utilizem privilégios de Administrador no seu trabalho diário, e é necessário liminar o número de colaboradores com acesso por conta de utilizador para reduzir a probabilidade de infecções por software malicioso.

Assumir a tendência BYOD: Criar uma política específica para o BYOD (Bring Your Own Device) e considerar, por exemplo, o reforço do bloqueio de passwords nos dispositivos dos colaboradores, activar o modo convidado (só navegação) ou não permitir guardar informação sensível em dispositivos pessoais.

Melhorar a segurança das passwords que usamos, tornando-as mais longas, adquirir discos ou memórias USB com encriptação incluída ou activar as actualizações automáticas sempre que seja possível, são algumas medidas ao alcance de empresas de todos os tamanhos e que podem marcar a diferença quando falamos de um ciberataque”, conclui Mario García.


Share:
Patricia Fonseca

Deixe o seu comentário